제로 트러스트(zero trust) 네트워크, 그리고 영상 감시에 대한 구현

Wayne Dorris

네트워크는 점점 더 취약해지고 있습니다. 점점 더 정교해지고 늘어나는 사이버 공격과 연결된 장치(각각은 공격에 노출된 또다른 네트워크 엔드포인트를 생성)의 기하급수적인 증가가 결합되어, 조직들은 네트워크를 안전하게 유지하기 위한 끝없는 싸움을 벌이고 있습니다.

과거에는 조직에서 회사 방화벽이 최대한 견고하게 유지되도록 하는 데 의존해 왔습니다. 이러한 접근 방식은 네트워크 액세스에 대한 보안을 보장하기 위한 것으로 보이지만, 방화벽을 침입할 수 있는 사람은 누구나 네트워크 내에서 상당히 자유롭게 이동할 수 있습니다. 일단 네트워크 내부에 들어오면, 복구할 수 없는 손상을 초래할 수 있는 데이터 손실은 실제 위험이 되고, 나쁜 행위자는 발견되기 전까지(결국 발견된다면) 몇 주 또는 몇 달 동안 활동을 계속할 수 있습니다.

또한 네트워크가 방화벽 내에서 격리된다는 개념은 시대에 뒤떨어진 개념입니다. 다시 말해, 네트워크에 연결된 장치의 수가 엄청나게 많다는 것은 단일 솔루션으로 네트워크 경계를 보호하는 것이 불가능하다는 것을 의미합니다. 또한 네트워크를 넘어 클라우드 기반 서비스의 사용, 그리고 고객과 공급업체의 시스템이 원활하게 연결되어 상당한 공급망 효율성을 제공하는 ‘투과성(permeable)’ 네트워크 경계선을 구축함으로써 얻을 수 있는 이점은 네트워크 보안의 성격을 바꾸어 놓았습니다.

네트워크 내의 누구도, 무엇도 신뢰하지 않는다

그 결과 ‘제로 트러스트(zero trust)‘라는 개념, 그리고 제로 트러스트 네트워크와 아키텍처도 함께 생겨났습니다. 이름에서 알 수 있듯이, 제로 트러스트 네트워크의 기본 입장은 네트워크에 연결되는 그리고 네트워크 내에 있는 모든 엔티티(인간이든 기계이든 관계 없이)는 어디에 있든, 어떻게 연결되고 있든 신뢰할 수 없다는 것입니다.

오히려 제로 트러스트 네트워크의 우선 원칙은 ‘신뢰하지 않음, 항상 확인할 것’입니다. 따라서 네트워크 내에서 또는 네트워크에 액세스하는 모든 엔티티의 아이덴티티는 액세스 중인 네트워크의 특정 데이터의 동작과 민감도에 따라 여러 가지 방법으로 여러 번 검증되어야 합니다. 본질적으로, 엔티티에는 작업을 완료하는 데 필요한 최소한의 액세스 권한이 부여됩니다.

제로 트러스트는 네트워크 마이크로 세분화(더 중요한 데이터가 상주하는 네트워크의 특정 부분에 다양한 수준의 보안을 적용) 및 세분화된 네트워크 경계 보안(사용자와 장치, 이들의 물리적 위치, 기타 식별 데이터를 기반)과 같은 기법을 사용하여, 해당 인증 정보가 네트워크 접근에 대해 신뢰할 수 있는지 여부를 결정합니다.

개인에게 네트워크 일부와 역할을 수행하는 데 필요한 데이터에만 접근할 수 있게 하는 것은 분명한 보안 상의 이점을 가져옵니다. 그러나 이러한 아이덴티티와 관련된 동작의 이상 징후는 추가적인 보안 수준을 야기합니다.

예를 들어, 네트워크 관리자는 유지보수를 위해 광범위한 네트워크 액세스 권한(예: R&D 또는 재무 서버)을 가질 수 있습니다. 그러나 동일한 인증 정보로 한밤중에 특정 파일이나 데이터를 다운로드하여 네트워크 밖으로 전송하는 것은 보안 위험 플래그가 될 수 있습니다. 이는 보안 자격 증명이 도난당했거나 불만을 품은 직원 또는 기업 스파이 활동을 통해 이득을 얻고자 하는 사람을 가리킬 수 있습니다.

제로 트러스트 네트워크에서는 추가 인증을 사용하거나, 최소한 이 비정상적인 활동에 실시간으로 플래그가 지정되도록 하여 보안 운영 센터에서 조사하도록 주의를 줄 수 있습니다.

역할 정의 및 적용

제로 트러스트 네트워크의 핵심에는 정책 엔진이 있습니다. 이 소프트웨어를 통해 조직은 네트워크 리소스 및 조직의 데이터에 액세스할 수 있는 방법에 대한 규칙을 만들고, 모니터링하고, 적용할 수 있습니다.

정책 엔진은 네트워크 분석 및 프로그래밍된 규칙을 조합하여 여러 요인에 따라 역할 기반 권한을 부여합니다. 간단히 말해, 정책 엔진은 네트워크 액세스에 대한 모든 요청과 해당 컨텍스트를 정책과 비교하여 요청의 허용 여부를 집행자에게 알려줍니다.

제로 트러스트 네트워크에서 정책 엔진은 호스팅 모델, 위치, 사용자 및 장치 전반에서 데이터 보안 및 액세스 정책을 정의 및 적용합니다. 따라서 조직에서는 차세대 방화벽(NGFW), 전자 메일 및 클라우드 보안 게이트웨이, 데이터 손실 방지(DLP) 소프트웨어와 같은 주요 보안 제어 내에서 규칙과 정책을 신중하게 정의해야 합니다.

이와 함께, 이러한 제어 기능이 결합되어 호스팅 모델 및 위치를 넘어 네트워크 마이크로 세분화를 수행합니다. 현재 각 솔루션의 관리 콘솔에서 정책을 설정해야 할 수도 있지만, 점차 통합되는 콘솔은 제품 간에 정책을 자동으로 정의하고 업데이트할 수 있습니다.

IAM(Identity and Access Management), 다단계 인증, 푸시 알림, 파일 권한, 암호화 및 보안 조정은 모두 제로 트러스트 네트워크 아키텍처를 설계하는 데 중요한 역할을 합니다.

영상 감시에 대한 제로 트러스트 네트워크의 구현

네트워크에 연결되는 엔티티에는 물론 사람도 포함되지만, 현재 그리고 앞으로 더더욱, 가장 많은 수의 네트워크 연결이 장치에서 이루어집니다. 여기에는 네트워크 보안 감시 카메라와 관련 네트워크 연결 장치가 포함됩니다. 조직이 제로 트러스트 네트워크 아키텍처를 지향함에 따라 이러한 네트워크 장치는 검증에 필요한 원칙을 준수해야 합니다. 조직의 물리적인 보안을 유지하기 위해 설계된 장치가 사이버 보안 취약성으로 이어진다면 아이러니할 것입니다.

다시 말하지만, 기존의 장치 보안 방식으로는 더 이상 충분하지 않습니다. 불량 행위자가 직원의 액세스 자격 증명을 도용할 수 있는 것과 마찬가지로 장치의 보안 인증서를 손상시킬 수 있습니다. 제로 트러스트 네트워크에서는 장치가 네트워크에 대한 자신의 신뢰도를 증명하기 위해 새로운 접근 방식이 필요합니다.

하드웨어 장치의 아이덴티티 확인

연결된 하드웨어 장치에 불변의 신뢰의 뿌리를 제공할 수 있는 기술 중 하나는 블록체인 기술의 사용입니다. 많은 블록체인이 가상화폐와 밀접하게 연관되어 있고, 그것 때문에 블록체인에 대한 나쁜 평판에 시달리기는 있지만, 블록체인은 양 당사자 간의 거래를 효율적이고 검증 가능하며 영구적인 방법으로 기록할 수 있는 공개적이고 분산된 원장입니다. 퍼블릭 및 프라이빗 블록체인이 모두 구현되어 있으며, 기업은 신뢰의 하드웨어 루트를 사용하기 위해 프라이빗 블록체인을 사용할 수 있고 따라서 기기 내에 불변의 신뢰 키를 설정할 수 있습니다.

블록체인의 구축으로 인해, 모든 선행 거래의 합의된 노드의 합의 없이 체인 내 어떤 데이터 거래도 변경될 수 없으며, 모두 암호화된 방식으로 연결되어 있습니다. 따라서 하드웨어 장치의 식별 가능한 부분에 대한 신뢰 키가 블록체인에 내장되어 있으면 장치 자체에 대한 불변의 자격 증명이 생성됩니다.

제로 트러스트 미래에 대한 준비

우리는 제로 트러스트 접근방식이 우리가 살고 있는 시대, 즉 제대로 자원을 갖춘 사이버 범죄자들이 네트워크 취약점을 이용하려고 끊임없이 찾고 있는 시대에 대한 슬픈 고발이라고 느낄 수도 있습니다. 실제로, 네트워크와 연결된 엔티티 수가 매일 증가함에 따라, 제로 트러스트 접근 방식은 가장 탄력적이고 안전한 네트워크를 구축하기 위한 논리적 접근 방식을 대표합니다. 이러한 이유로 많은 조직이 네트워크 아키텍처에 대해 제로 트러스트 접근 방식을 취하기 시작했습니다.

Axis를 포함한 모든 하드웨어 제조업체의 경우, 제로 트러스트 미래를 준비하는 것이 중요합니다. 이 미래는 생각보다 빨리 올 것입니다.

 

Axis의 사이버 보안에 대해 자세히 확인해 보세요.

Axis의 사이버 보안